[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-88{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tiff3 est sujet à plusieurs problèmes pouvant aboutir au moins à des dénis de
service dâ??applications utilisant libtiff4. Des fichiers TIFF contrefaits
peuvent être fournis pour déclencher des appels abort() à lâ??aide dâ??assertions
défaillantes, de dépassements de tampon (à la fois dans les modes lecture et
écriture).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8781";>CVE-2015-8781</a>

<p>La fonction tif_luv.c dans libtiff permet à des attaquants de provoquer un
déni de service (écriture hors limites) à l'aide d'un nombre non valable
dâ??échantillons par pixel dans une image TIFF compressée LogL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8782";>CVE-2015-8782</a>

<p>La fonction tif_luv.c dans libtiff permet à des attaquants de provoquer un
déni de service (écriture hors limites) à l'aide d'une image TIFF contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8783";>CVE-2015-8783</a>

<p>La fonction tif_luv.c dans libtiff permet à des attaquants de provoquer un
déni de service (lectures hors limites) à l'aide d'une image TIFF contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8784";>CVE-2015-8784</a>

<p>La fonction NeXTDecode dans tif_next.c dans LibTIFF permet à des attaquants
distants de provoquer un déni de service (écriture hors limites) à l'aide d'une
image TIFF contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9533";>CVE-2016-9533</a>

<p>La fonction tif_pixarlog.c dans libtiff 4.0.6 est sujette à une vulnérabilité
dâ??écriture hors limites dans les tampons alloués de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9534";>CVE-2016-9534</a>

<p>La fonction tif_write.c dans libtiff 4.0.6 a un problème dans le chemin de
code dâ??erreur de TIFFFlushData1() qui ne réinitialisait pas les membres
tif_rawcc et tif_rawcp. </p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9535";>CVE-2016-9535</a>

<p>Les fonctions tif_predict.h et tif_predict.c dans libtiff 4.0.6 possèdent des
assertions pouvant conduire à lâ??échec dâ??assertions dans le mode de débogage, ou
des dépassements de tampon dans le mode release, lors du traitement avec des
tailles inhabituelles de tuile, comme YCbCr avec le sous-échantillonnage.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.9.6-11+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-880.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ejabberd nâ??impose pas le réglage starttls_required lorsque la compression
est utilisée, ce qui fait que des clients établissent des connexions sans
utiliser de chiffrement.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 2.1.10-4+deb7u2.</p>

<p>Cette mise à jour désactive aussi SSLv3 non sûr.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ejabberd.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-881.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une attaque par injection de suffixe dans le chemin dans le
serveur tryton, une plateforme générique dâ??applications.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.2.4-1+deb7u4 de tryton-server.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tryton-server.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-882.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de lecture excédentaire de tampon dans curl,
un outil pour télécharger des fichiers à partir dâ??Internet, etc.</p>

<p>Si un « % » terminait un paramètre --write-out, le NUL de fin de
chaîne était omis et un accès mémoire après la fin du tampon était possible et,
éventuellement, la fin pouvait être affichée comme partie de la sortie.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 7.26.0-1+wheezy18+deb7u1 de curl.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-883.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans python-django, un cadriciel de
développement web de haut niveau en Python.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7233";>CVE-2017-7233</a> (#859515)

<p>Attaque de redirection ouverte et attaque XSS possible à lâ??aide de
redirections dâ??URL numérique fournies par lâ??utilisateur. Django sâ??appuie sur
lâ??entrée dâ??utilisateur dans quelques cas (par exemple,
django.contrib.auth.views.login() et i18n) pour rediriger lâ??utilisateur vers une
URL <q>on success</q>. La vérification de sécurité pour ces redirections (à
savoir is_safe_url()) considérait une URL numérique (par exemple,
http:999999999) <q>safe</q> alors que cela ne devait pas être le cas. Aussi, si
un développeur comptait sur is_safe_url() pour fournir des cibles de redirection
sûres et mettait de telles URL dans des liens, il pourrait subir une
attaque XSS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7234";>CVE-2017-7234</a> (#895516)

<p>Vulnérabilité de redirection ouverte dans django.views.static.serve. Une URL
contrefaite et malveillante vers un site Django utilisant le visualisateur
serve() pourrait rediriger vers nâ??importe quel autre domaine. Le visualisateur
ne redirige plus car il ne fournit aucune fonction connue utile.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.4.22-1+deb7u3 de python-django.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-885.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les changements dans tzdata 2017b. Les changements
notables sont :</p>
<ul>
<li>Haiti a repris lâ??observance de lâ??heure dâ??été en 2017.</li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2017b-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-886.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les changements dans tzdata 2017b pour les liaisons
de Perl. Pour la liste des modifications, consultez la DLA-886-1.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:1.58-1+2017b.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libdatetime-timezone-perl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-887.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Logback, une bibliothèque flexible de journalisation pour Java, désérialisait
des données à partir de sockets non fiables. Cela pouvait conduire à l'exécution
de code arbitraire. Ce problème a été résolu en ajoutant une liste blanche pour
utiliser seulement des classes fiables.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:1.0.4-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets logback.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-888.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Potrace, un utilitaire pour transformer des graphismes matriciels en
vectoriels, était affecté par un dépassement d'entier dans la fonction findnext,
permettant à des attaquants distants de provoquer un déni de service
(accès mémoire non valable et plantage) à l'aide d'une image BMP contrefaite.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.10-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets potrace.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-889.data"
# $Id: $
Reply to: